攜程漏洞事件暴露支付安全現狀 CVV碼不應保留
3月22日晚間,根據烏云漏洞平臺的描述,攜程將用于處理用戶支付的服務接口開啟了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。
持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等重要用戶信息均被泄露。這一事件使得攜程招致巨大的用戶信任危機,其官方微博也遭受大量用戶指責。據攜程表示,漏洞是由于該公司技術開發人員排查系統疑問時未及時刪除臨時日志而產生的,目前,這些信息已被全部刪除。
不談此次事件到底產生什么后果,先分享個來自攜程用戶講述的親身經歷
攜程出了這檔子事,我一點也不稀奇。Why I'm not surprised?我就講一個發生在我身上的事:記得是2011年吧,那會我在印尼出差,回國要途經香港轉機需要住一天,就打電話給攜程訂酒店。
結果什么都談好了,到了支付環節,攜程說需要我的信用卡做擔保,我說沒問題。信用卡做擔保,這不太正常了么?對吧?太正常了!結!果!攜程那話務員就開始在電話里拿中文問我的信用卡號、有效期、CVV碼以及身份證號!是真的“問”,然后要我把號碼念出來,她再大聲的重復一遍以校驗。
我當時就崩潰了,臥槽這號碼是隨便說的嗎?有信用卡號、有效期、CVV碼這三個東西,網上就可以隨便刷我卡了好嗎?但是沒辦法,酒店必須得訂,當時只有攜程訂方便,我其他的方式根本不知道。訂完酒店嚇的我都快尿了,回國之后立馬cancel信用卡重新辦了一張。
這還沒完,我之后和攜程投訴,電話打了快一小時,他們那的經理顯然完全不理解我在說什么。先一個勁的問說你是怕自己念卡號被別人聽去了嗎,那你找個僻靜地方唄。(吐血不止)然后又一個勁的跟我賭咒發誓保證他們的話務員不會盜用我的卡片信息,說攜程話務員是well trained。臥槽你去銀行取錢,然后銀行因為信任自己的員工就讓你把密碼直接說出來,這他媽是間諜片對暗號呢嗎?我當時非常生氣,我說要這樣,我哪天去你們公司應聘話務員,一旦開始工作我隨便記住哪個客戶的信用卡信息,我刷個幾千上萬,神仙也查不出來。然后怎么講也講不通,感覺他們就不認為這是個事,氣的我就直接把電話掛了。
這還沒完呢,又過了一年,我也是沒長記性,異地考托福又想通過攜程訂酒店,又管我要信用卡信息,到了CVV的時候說讓我按鍵盤輸入。我一陣那個欣慰啊,心說我的投訴終于有用了,他們終于明白了這東西不能讓人看見,我容易嗎我。然后我心里甜滋滋的輸入了CVV并按了#號,然后就聽到話務員的甜美聲音“王先生您剛才輸入的CVV是123沒錯吧?
我當場差點沒一口血噴出來,這!有!什!么!意!義!嗎?攜程豈止是存儲CVV碼,簡直就是沒有對這些有重大價值可以給客戶造成重大損失的信息有絲毫的重視,他們出了這種事,簡直太正常了,太正常了。
大家質疑的不是漏洞,而是攜程為什么不尊重行業準則?
此次的攜程事件,實際上暴露了普遍存在的支付安全現狀。漏洞的發生是在支付服務調試過程中,由于技術人員疏忽導致部分臨時日志被烏云專業人士發現并爆料。目前只有爆料的烏云專業人士下載了93人的信用卡信息,且這些信息均為加密保存,除非該人士破解成功并盜用,但其已第一時間將其刪除。
從目前情況來看實際影響范圍其實并不大,但這件事情仍然引起了業內人士的廣泛關注,因為主要的問題不在于這是不是漏洞,而是因為只要有這個日志在,你就是再高明的系統也沒用。雖然說這次信息泄露事件是在烏云上首先被爆料出來的,但能被一個人發現的問題,極有可能也被另外一個人發現。
這就需要攜程對這個事件中的具體內容加以披露:什么時候開始的這種日志打印?覆蓋了多少人的敏感信息?通過審計統計有多少人對這些文件進行了訪問?只有回答好這些問題才能解決用戶心中的疑慮。
技術人員犯錯我們可以理解,但大家最普遍質疑的是:為何攜程會保留CVV碼等敏感信息?實際上了解電商行業的人都知道,在將cvv2等敏感信息提交到具體的發卡行之前,將其信息暫存是電商行業的普遍做法,否則支付過程中無法將有效參數傳遞到發卡行。根據支付卡產業數據安全標準(PCIDSS:PaymentCardIndustryDataSecurityStandard)的規定,CVV碼的信息在商戶是可以暫存的,其安全性由商戶保證。
其具體規定主要有兩點:
①用戶在商戶提交信用卡支付成功后,商戶必須立即將CVV碼信息刪除。
②若提交信用卡支付未成功,商戶可以將CVV碼信息保存7天后清除。
企業針對CVV碼的普遍做法都是暫存但不保留,但這些規定攜程卻并沒有嚴格遵守,所以才有了這次的信息外泄事件。
亡羊補牢現在為時不晚,攜程現在要做的是站出來勇于承擔自己的錯誤
目前為止,我們還沒有看到公開的正式道歉信。與此同時攜程應該盡快修復漏洞,排查哪些客戶的信用卡信息遭到了泄露。整理出來,逐一通知泄露的客戶,請求客戶更換卡片。同時,聯系各家受到波及的銀行,告知泄露情況,請各發卡行對早泄露卡片做批次block處理。
考慮所有涉及這類信息的應用場景,這些大家應該都沒提到,就是,比如使用身份證號、銀行卡號CVV等信息用于做驗證的場景。下面羅列了一些最常見的驗證場景,我們可以看到如果攜程公布的信息真實,那么此次泄漏暫時不影響所有網絡交易,不會產生風險。至于網上所謂提出的建議改密碼毫無作用,因為信用卡網上支付除了網銀模式,不涉及到密碼!
網銀支付:缺少查詢密碼
快捷支付:缺少手機號和短信驗證碼
快捷支付綁定:缺少有效期,手機號,短信驗證碼
銀聯無卡支付:缺少有效期,手機號,短信驗證碼
電話訂購:缺少有效期
雙幣卡境外購物:缺少有效期,部分還需要賬單地址驗證
不過一名資深網絡安全人員表示,尚未造成財產損失并不意味著用戶的賬戶及銀行卡信息安全,建議用戶撥打對應銀行的客服電話申請停卡,或直接辦理掛失。個人建議不論攜程此次事件最終處理結果如何,信用卡信息到底有沒有泄露,還是最好及時更換新卡。因為不怕一萬,就怕萬一。財產安全畢竟是和自己息息相關的大事。
